Trasferimenti di dati rilasciati ma regolamentati

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Per quanto possa sembrare sorprendente in un'economia globalizzata in cui la nozione di confine sembra incompatibile con le transazioni via Internet, il trasferimento di dati personali per un'ulteriore elaborazione è stato vietato dall'UE a un paese terzo, ovvero situato al di fuori dell'Unione, senza l'autorizzazione rilasciata da un'autorità di controllo.

Il GDPR abolisce il regime di autorizzazione preventiva. Tuttavia, affinché il trasferimento abbia luogo, sono necessarie determinate condizioni. La Commissione deve aver accertato, mediante decisione, che il destinatario extra-UE (paese, territorio o settore di un paese, organizzazione internazionale) "garantisca un livello di protezione adeguato" (articolo 45-1). 

Il 2°^e Il primo comma dell'articolo 45 elenca i criteri corrispondenti a tale livello adeguato di protezione, tra cui lo Stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione, l'effettiva esistenza di un'autorità di controllo indipendente, gli impegni internazionali, ecc. Se l'esame di tali criteri porta alla conclusione che la misura è in linea con le norme europee, la Commissione adotta un "atto di esecuzione", soggetto a revisione periodica almeno ogni quattro anni (articolo 45-3). Si specifica inoltre che la Commissione monitora costantemente gli sviluppi nei paesi terzi (articolo 45-4).

Tuttavia, il trasferimento è possibile, sempre senza previa autorizzazione, verso una destinazione che non sia stata oggetto di un atto di attuazione. Infatti, l'articolo 46 prevede che un titolare del trattamento o un responsabile del trattamento possa trasferire "se ha fornito garanzie appropriate e a condizione che gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi" (art. 46-1).

Tali garanzie adeguate possono essere fornite con mezzi diversi, alcuni dei quali abbiamo già menzionato:

•  Uno strumento giuridicamente vincolante e applicabile tra autorità o enti pubblici;
•  Norme vincolanti d'impresa (per i gruppi di società, i termini di tali norme, che devono essere approvati dall'autorità di vigilanza, sono specificati nell'articolo 47);
• Clausole standard approvate dalla Commissione, direttamente o tramite un'autorità di vigilanza;
•  Un codice di condotta o un meccanismo di certificazione “accompagnato da un impegno vincolante ed esecutivo assunto dal titolare del trattamento o dal responsabile del trattamento nel paese terzo ad applicare garanzie adeguate” (art. 46-2).

Garanzie adeguate per il trasferimento possono essere fornite, questa volta previa autorizzazione dell'autorità di controllo, attraverso altri due mezzi:

– Un contratto tra il titolare del trattamento o il subappaltatore con le loro controparti nel paese terzo;

– “Disposizioni da includere negli accordi amministrativi tra autorità pubbliche o enti pubblici” (art. 46-3).

Qualsiasi trasferimento è pertanto vietato al di fuori di un atto di esecuzione che garantisca un livello di protezione adeguato o garanzie specifiche. Sono tuttavia previste eccezioni per le situazioni specifiche elencate nell'articolo 49. Il trasferimento è in particolare possibile:

– Quando la persona interessata ha prestato il proprio consenso esplicito dopo essere stata informata dei rischi connessi; 

– Nel contesto dell’esecuzione di un contratto tra l’interessato e il titolare del trattamento (o nel suo interesse con un’altra persona fisica o giuridica);

– Quando il trasferimento è nell’interesse pubblico, o è connesso all’esercizio di diritti legali, o necessario per salvaguardare gli interessi vitali dell’interessato.

Queste numerose disposizioni relative alle possibilità di trasferimento dimostrano che i promotori del GDPR intendono garantire la protezione dei dati personali, senza ostacolare l'attività di aziende e amministrazioni. Eliminando l'autorizzazione preventiva nella stragrande maggioranza dei casi, puntano sulla responsabilità degli attori, il cui operato deve poter essere verificato, secondo il noto principio di accountability.